Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Datenverkehrslämpchen am Modem leuchtet wie verrückt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.06.2008, 23:35   #1
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo
Kann mir jemand helfen ?
Ich hatte vor kurzem noch einen Trojaner auf meinem Computer.
Ich denke er ist soweit weg, zumindestens schlagen keine diversen
Schutzprogramme mehr an.
Ich habe aber folgendes Phänomen (Problem): Immer wenn ich mit meinem Modem ins Internet gehe, leuchtet mein Datenverkehrslämpchen wie verrückt, obwohl ich nur Google als Startseite habe.
Ich muß sagen bevor ich den Trojaner hatte, war das nicht der Fall.

So das ganze habe ich jetzt mit der Firewall von Sygate in den Griff bekommen, in dem ich manuell zustimme oder nicht, welches Programm kommunizieren darf. Aber da stimmt doch was nicht, wie gesagt war das vorher nicht der Fall.

Hier mal die Programme, welche hautsächlich versuchen Verbindung aufzunehmen:

C:\windows\system32\svchost.exe

C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\windows\system32\services.exe

Ich denke, das sind doch Programme, welche von Windows kommen, kann da irgendwas sein ?

Weiß jemand was, was ich tun könnte ?

Gruß

Alt 04.06.2008, 10:26   #2
blow-in
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo Mister
Dann mach doch als erstes mal ein HJT-Log
Was hattest du denn für einen Trojaner an Board?
Wie hast du den weg bekommen?
__________________


Alt 04.06.2008, 22:44   #3
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



HJT habe ich schon gemacht, welcher Trojaner das war weiß ich nicht mehr so genau. Auf alle Fälle war im Log-File dieser Eintrag verdächtig:

C:\WINDOWS\system32\nicp472.exe

und

016 - DBF: {1d6711C8-7154-40BB-8380-3DEA45B69CBF} -

Ich habe diese Datei dann manuell gelöscht habe auch in der regedit nach diesem Zeug gesucht und entsprechend gelöscht.

SpywareDoctor fand am Anfang diese:
-Joltid P2P Networking
-Grokster
-Trojan.Proxy.Ranky

Hab jetzt leider den SpywareDoctor nicht mehr drauf, obwohl ich mit ihm eh nicht löschen konnte.

Genügt dir das mal soweit

Gruß und Danke
__________________

Alt 04.06.2008, 22:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Icon32

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo? Ist es so schwierig das komplette Log zu posten?
Da Du die besagte Datei nun gelöscht hast, kann man sie auch nicht mehr bei Virustotal auswerten lassen....

Folge mal dem Blacklight-Link in meiner Signatur. Laß das Programm durchlaufen und poste das Logfile.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.06.2008, 08:47   #5
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo root24

Ok, das habe ich gemacht. Jetzt weiß ich nicht genau, wie man ein Logfile hier richtig reinstellt, bin neu hier.

Ich kopiere es hier:

06/06/08 09:36:08 [Info]: BlackLight Engine 1.0.70 initialized
06/06/08 09:36:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/06/08 09:36:08 [Note]: 7019 4
06/06/08 09:36:08 [Note]: 7005 0
06/06/08 09:36:23 [Note]: 7006 0
06/06/08 09:36:23 [Note]: 7011 2924
06/06/08 09:36:23 [Note]: 7035 0
06/06/08 09:36:24 [Note]: 7026 0
06/06/08 09:36:24 [Note]: 7026 0
06/06/08 09:36:26 [Note]: FSRAW library version 1.7.1024
06/06/08 09:38:58 [Note]: 2000 1012
06/06/08 09:39:28 [Note]: 7007 0

Ich denke er hat nichts gefunden oder ?
Weißt du sonst noch Hilfe ?
Gruß


Alt 06.06.2008, 15:00   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Das ist okay. Hijackthis-Log auch noch nachreichen. Mit code-Tags bitte umschlossen posten.
__________________
--> Datenverkehrslämpchen am Modem leuchtet wie verrückt

Alt 06.06.2008, 16:55   #7
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo root24

hier das Hijack-Logfile:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 17:42:09, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Brmfrmps.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\APPS\SMP\SmpSys.exe
C:\hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
F:\PhoneConnectorVMC.exe
F:\vmc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Brother\Brmfcmon\brmfcwnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\xxx\xxx\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C626D71-1DEC-401C-B276-3BF3E25A8EAA}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C626D71-1DEC-401C-B276-3BF3E25A8EAA}: NameServer = 139.7.30.125 139.7.30.126
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard (avg anti-spyware guard) - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
O23 - Service: Sygate Personal Firewall (smcservice) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
         
Ist das soweit in Ordnung ?
Gruß

Alt 06.06.2008, 18:29   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Icon31

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Das war fast richtig!
Nimm bitte nur noch die aktuelle Version und poste es wie das "alte".
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.06.2008, 10:15   #9
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo
Hier noch die aktuelle Version

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:44, on 08.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\APPS\SMP\SmpSys.exe
C:\hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
F:\PhoneConnectorVMC.exe
F:\vmc.exe
C:\xxx\xxx\HijackThis\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Anti-Malware Service (a2antimalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard (avg anti-spyware guard) - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (smcservice) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6271 bytes
         
Ist das ok so ?

Ich habe mir jetzt wieder den Spydoctor von PC-Tools besorgt und der findet tatsächlich noch was, nur zum beheben muß man das Programm kaufen.
Werd ich wohl oder übel müßen oder ?

Soll ich mal posten was der so gefunden hat ?
Gruß

Alt 08.06.2008, 18:30   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Icon32

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Ja poste das komplett was er so gefunden hat.

Code:
ATTFilter
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
         
Dieser Dienst gefällt mir überhaupt nicht. Folge mal bitte auch meinen Links zu combofix und silentrunners in der Signatur.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.06.2008, 09:35   #11
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo

ComboFix funktioniert bei mir nicht, habe folg. Meldung erhalten:

Some installation files are corrupt.
Please download a fresh copy and retry the installation

Bin bisher noch nicht dazu gekommen es neu herunterzuladen und beim Versuch es wieder zu entfernen sagt er: Combofix konnte nicht gefunden werden, hat aber einen komischen Pfad mit lauter Zahlen und Buchstaben unter C:\ angelegt.

Du hast recht mit dem "spools.exe" stimmt was nicht.

Hier die Meldungen welche Spydoctor gebracht hat:

------ Trojan-PWS.Sinowal
und
------ Trojan-Downloader.Small.GEN
in diesem wird noch die spools.exe erwähnt ich kann nur nicht die ganzen Meldungen kopieren, da diese sich nicht kopieren lassen.

Silentrunners habe ich gemacht hier die Log-Datei

Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SmpcSys" = "C:\APPS\SMP\SmpSys.exe" ["Packard Bell BV"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"a-squared" = ""C:\Programme\a-squared Anti-Malware\a2guard.exe"" ["Emsi Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {HKLM...CLSID} = "Portable Media Devices Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
  -> {HKLM...CLSID} = "RecordNow! SendToExt"
                   \InProcServer32\(Default) = "C:\Apps\RecordNow\shlext.dll" [null data]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\soa800.dll" [MS]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Sammelmappen-Teiler"
  -> {HKLM...CLSID} = "Microsoft Office Sammelmappen-Teiler"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\UNBIND.DLL" [MS]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
  -> {HKLM...CLSID} = "Shell Extension for CDRW"
                   \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {HKCU...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {HKCU...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {HKCU...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {HKCU...CLSID} = (no title provided)
                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a-squared Anti-Malware Shell Extension"
  -> {HKLM...CLSID} = "a-squared Anti-Malware Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\a-squared Anti-Malware\a2contmenu.dll" ["Emsi Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
  -> {HKLM...CLSID} = "SABShellExecuteHook Class"
                   \InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
  -> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
                   \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
avg anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
  -> {HKLM...CLSID} = "CContextScan Object"
                   \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
shell extension for malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
avg anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
  -> {HKLM...CLSID} = "CContextScan Object"
                   \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
a-squared Anti-Malware shell extension\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
  -> {HKLM...CLSID} = "a-squared Anti-Malware Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\a-squared Anti-Malware\a2contmenu.dll" ["Emsi Software GmbH"]
shell extension for malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a-squared Anti-Malware shell extension\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
  -> {HKLM...CLSID} = "a-squared Anti-Malware Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\a-squared Anti-Malware\a2contmenu.dll" ["Emsi Software GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{Prevent access to registry editing tools}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWMEncVCArrival\
"Provider" = "Windows Media Encoder 9-Reihe"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Windows Media-Komponenten\Encoder\WMEnc.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

NeroAutoPlayEmptyCD\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "EmptyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\EmptyCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"]

NeroAutoPlayInCDAutorunEmptyCD\
"Provider" = "InCD"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "InCDAutorunEmptyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\InCDAutorunEmptyCD\command\(Default) = "C:\Programme\Ahead\InCD\InCDL.exe" ["Ahead Software AG"]

PCinemaDCameraArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "Picture"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\Picture\shell\PlayWithPowerCinema\Command\(Default) = ""c:\Apps\Powercinema\PowerCinema.exe" AUTOPLAY DSC "%L"" ["CyberLink Corp."]

PCinemaDVArrival\
"Provider" = "PowerCinema"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = ""c:\Apps\Powercinema\PowerCinema.exe" DV "%L""
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

PCinemaMusicFilesArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "MusicFiles"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\MusicFiles\shell\PlayWithPowerCinema\Command\(Default) = ""c:\Apps\Powercinema\PowerCinema.exe" AUTOPLAY MUSIC "%L"" ["CyberLink Corp."]

PCinemaPlayDVDMovieOnArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerCinema\Command\(Default) = ""c:\Apps\Powercinema\PowerCinema.exe" AUTOPLAY MOVIE "%L"" ["CyberLink Corp."]

PCinemaVideoFilesArrival\
"Provider" = "PowerCinema"
"InvokeProgID" = "VideoFiles"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\VideoFiles\shell\PlayWithPowerCinema\Command\(Default) = ""c:\Apps\Powercinema\PowerCinema.exe" AUTOPLAY VIDEO "%L"" ["CyberLink Corp."]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
  -> {HKLM...CLSID} = "RealNetworks Scheduler"
                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]

SonicRnAudioCD\
"Provider" = "Sonic RecordNow!"
"InvokeProgID" = "Sonic.RecordNow"
"InvokeVerb" = "AudioCDJob"
HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\AudioCDJob\Command\(Default) = ""C:\Apps\RecordNow\RecordNow.exe" /AudioCDJob %L" [null data]

SonicRnBurnAudioCD\
"Provider" = "Sonic RecordNow!"
"InvokeProgID" = "Sonic.RecordNow"
"InvokeVerb" = "AudioCDTarget"
HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\AudioCDTarget\Command\(Default) = ""C:\Apps\RecordNow\RecordNow.exe" /AudioCDTarget %L" [null data]

SonicRnBurnDataDisc\
"Provider" = "Sonic RecordNow!"
"InvokeProgID" = "Sonic.RecordNow"
"InvokeVerb" = "DataDiscTarget"
HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\DataDiscTarget\Command\(Default) = ""C:\Apps\RecordNow\RecordNow.exe" /DataDiscTarget %L" [null data]

SonicRnCopyCD\
"Provider" = "Sonic RecordNow!"
"InvokeProgID" = "Sonic.RecordNow"
"InvokeVerb" = "CopyDiscJob"
HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\CopyDiscJob\Command\(Default) = ""C:\Apps\RecordNow\RecordNow.exe" /CopyDiscJob %L" [null data]

SonicRnCopyDisc\
"Provider" = "Sonic RecordNow!"
"InvokeProgID" = "Sonic.RecordNow"
"InvokeVerb" = "CopyDiscJob"
HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\CopyDiscJob\Command\(Default) = ""C:\Apps\RecordNow\RecordNow.exe" /CopyDiscJob %L" [null data]

SonicVideoCameraArrival\
"Provider" = "Sonic Solutions"
"ProgID" = "MyDVD.MyDVDAPHandler"
"InitCmdLine" = "new"
HKLM\SOFTWARE\Classes\MyDVD.MyDVDAPHandler\CLSID\(Default) = "{3D5EF619-F606-4FAA-97C0-222B7DCA05EC}"
  -> {HKLM...CLSID} = "MyDVDAPHandler Class"
                   \LocalServer32\(Default) = "C:\Programme\Sonic\MyDVD\MyDVD.exe -autoplay" ["Sonic Solutions"]

SonicVideoCameraArrivalDirect\
"Provider" = "Sonic Solutions"
"ProgID" = "MyDVD.MyDVDAPHandler"
"InitCmdLine" = "direct"
HKLM\SOFTWARE\Classes\MyDVD.MyDVDAPHandler\CLSID\(Default) = "{3D5EF619-F606-4FAA-97C0-222B7DCA05EC}"
  -> {HKLM...CLSID} = "MyDVDAPHandler Class"
                   \LocalServer32\(Default) = "C:\Programme\Sonic\MyDVD\MyDVD.exe -autoplay" ["Sonic Solutions"]

UVSFolder\
"Provider" = "Ulead VideoStudio 8.0 SE DVD"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\APPS\VS8\vstudio.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

VTBFolder\
"Provider" = "Ulead ToolBox 2.0"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Ulead Systems\Ulead Video ToolBox 2.0 SE\VToolBox.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]


Startup items in "Andreas" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart
"Hardcopy" -> shortcut to: "C:\hardcopy\hardcopy.exe" ["Siegfried Weckmann"]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Status Monitor" -> shortcut to: "C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe Brother DCP-110C /STARTUP" ["Brother Industries, Ltd."]


Enabled Scheduled Tasks:
------------------------

"Erweiterte Garantie" -> launches: "C:\APPS\SMP\PBCARNOT.EXE" ["Packard Bell BV"]
"Registrierungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /r /n:1" [MS]
"Registrierungserinnerung 2" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /r /n:2" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Real.com"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

a-squared Anti-Malware Service, a2antimalware, ""C:\Programme\a-squared Anti-Malware\a2service.exe"" ["Emsi Software GmbH"]
Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
AVG Anti-Spyware Guard, avg anti-spyware guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
Brother Popup Suspend service for Resource manager, brmfrmps, ""C:\WINDOWS\system32\Brmfrmps.exe" -service " ["Brother Industries, Ltd."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
CyberLink Background Capture Service (CBCS), CLCapSvc, ""c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe"" [empty string]
CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe"" ["Cyberlink"]
CyberLink Task Scheduler (CTS), CLSched, ""c:\APPS\Powercinema\Kernel\TV\CLSched.exe"" [empty string]
Generic Service for HID Keyboard Input Collections, GenericHidService, "c:\APPS\HIDSERVICE\HIDSERVICE.exe" [null data]
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Sygate Personal Firewall, smcservice, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2008-06-10 10:14:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 34 seconds, including 13 seconds for message boxes)
         
Ist das ok soweit, kannst du schon was sagen was ich unternehmen kann bzw. machen soll oder soll ich nochmal Combofix runterladen ?

Vielen Dank und Gruß

Alt 11.06.2008, 22:19   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Cool

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Leuchten die LEDs am Modem/Router denn noch ständig?
Der Malwaredienst läuft offensichtlich jedenfalls nicht mehr. Entferne ihn bitte so:

- Konsole starten: Start, Ausführen cmd eintippen und ok
- in die Konsole diesen Befehl eintippen und mit [enter] bestätigen:

Code:
ATTFilter
sc delete "Taskplaner (Schedule)"
         
Dann sollte er doch weg sein.

Für combofix hatte ich noch einen alternativen Link, beachte dazu unbedingt diesen Beitrag von mir aus einem anderen Strang. Bitte genau lesen!
Combofix wurde in xyzcf.com umbenannt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.06.2008, 09:20   #13
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo root24

Nein, es ist noch nicht weg, sobald ich meine Firewall abschalte, legt das Datenverkehrslämpchen wieder los und versucht Kontakt aufzunehmen, mit wem auch immer.
Also es ist noch nicht behoben, wie sollte es auch ich hab ja nichts gemacht.

Wenn ich den Befehl bei cmd eintippe kommt folgendes:
[SC] OpenService FAILED 1060:
Der angegebene Dienst ist kein installierter Dienst

Ist das gepostete Logfile in Ordnung ?

Was sagst du zu den zwei Meldungen, welche Spydoctor liefert ?

Soll ich ich Spydoctor erwerben um sicher zu gehen ?

Gruß

Alt 13.06.2008, 09:36   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Icon32

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hm ich befürchte da läuft noch irgendwas verstecktes auf der Kiste. Folge mal bitte dem Combofix-Link in meiner Signatur.
Beende ALLE Programme vorher und sieh zu, daß nur noch ein Virenscanner auf der Kiste läuft. Ich hab schonmal AntiVir und AVG Free entdeckt. Weniger ist da meistens mehr und alles entdecken Virenscanner prinzipbedingt schonmal nicht.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.06.2008, 10:00   #15
Mister99
 
Datenverkehrslämpchen am Modem leuchtet wie verrückt - Standard

Datenverkehrslämpchen am Modem leuchtet wie verrückt



Hallo root24

Die Datei xyzcf.com (Combofix) habe ich noch runtergeladen und getestet, aber es ging wieder nicht folg. Meldung kam:

This copy of Combofix has expired, please download an updated copy.
Die Datei hat sich dann selber gelöscht.

Was sagst du zu meinen o.g. Fragen ?

Gruß

Antwort

Themen zu Datenverkehrslämpchen am Modem leuchtet wie verrückt
als startseite, diverse, files, firewall, folge, folgendes, google, griff, helfen, interne, internet, manuell, modem, phänomen, problem, seite, service, shared, startseite, sygate, system, system32, trojaner, verbindung, verrückt, versuche, windows




Ähnliche Themen: Datenverkehrslämpchen am Modem leuchtet wie verrückt


  1. Netzkabel LED von Laptop leuchtet nicht
    Netzwerk und Hardware - 10.04.2015 (5)
  2. LaptopBildschirm leuchtet schwarz
    Plagegeister aller Art und deren Bekämpfung - 03.09.2014 (7)
  3. BKA Trojaner leuchtet auf und verschwindet!
    Plagegeister aller Art und deren Bekämpfung - 24.06.2013 (4)
  4. Virus auf dem dsl modem
    Plagegeister aller Art und deren Bekämpfung - 10.01.2013 (17)
  5. modem passwort sicherheit
    Netzwerk und Hardware - 15.09.2011 (7)
  6. wlan router/modem.....
    Netzwerk und Hardware - 09.03.2011 (19)
  7. Arcor WLAN Modem 200 anscheinend Kaputt, neue Easybox holen oder Modem eines Drittanbieters?
    Netzwerk und Hardware - 25.11.2010 (6)
  8. Modem schaltet ab.
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  9. USB-modem.Huawei + Problem
    Plagegeister aller Art und deren Bekämpfung - 11.09.2007 (0)
  10. Modem als Sicherheitsrisiko
    Überwachung, Datenschutz und Spam - 21.03.2007 (4)
  11. Modem arbeitet wenn
    Log-Analyse und Auswertung - 10.10.2005 (3)
  12. Modem nach Neustart weg!
    Alles rund um Windows - 02.01.2005 (4)
  13. Problem mit DSL-Modem
    Netzwerk und Hardware - 14.10.2004 (3)
  14. dsl und modem geschwindigkeit
    Plagegeister aller Art und deren Bekämpfung - 19.06.2004 (0)
  15. Modem in Frankreich
    Netzwerk und Hardware - 11.02.2003 (8)
  16. DSL Modem Frage
    Alles rund um Windows - 26.01.2003 (11)
  17. Modem - Anschlußkabel
    Netzwerk und Hardware - 16.01.2003 (5)

Zum Thema Datenverkehrslämpchen am Modem leuchtet wie verrückt - Hallo Kann mir jemand helfen ? Ich hatte vor kurzem noch einen Trojaner auf meinem Computer. Ich denke er ist soweit weg, zumindestens schlagen keine diversen Schutzprogramme mehr an. Ich - Datenverkehrslämpchen am Modem leuchtet wie verrückt...
Archiv
Du betrachtest: Datenverkehrslämpchen am Modem leuchtet wie verrückt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.